계정을 위한 TLS 검사 정책 구성

이 문서는 네트워크의 특정 요구 사항을 충족하기 위해 TLS 검사 정책을 구성하고 사용자 정의하는 방법에 대해 설명합니다.

Cato TLS 검사 정책 개요

오늘날 대부분의 네트워크 트래픽은 암호화되어 있습니다(TLS, HTTPS). 이는 종종 IPS, 인터넷 방화벽, 애플리케이션 제어 정책 및 Anti-Malware 트래픽 스캔의 이점을 최소화합니다. 트래픽에 악성 콘텐츠가 포함된 경우, 이는 또한 암호화되어 Cato 보안 엔진이 검사하거나 스캔할 수 없습니다.

계정에서 TLS 검사를 활성화하면, Cato는 PoP를 통과하는 트래픽을 안전하게 복호화하고 Cato 보안 엔진이 이를 악성 코드인지 검사하고 다운로드된 파일을 스캔합니다. 트래픽의 내용이 안전하다고 확인되면, Cato는 트래픽을 다시 암호화하고 이를 목적지로 전달합니다. 그러나 콘텐츠에 실제 또는 의심되는 악성 코드가 포함된 경우, Cato 보안 엔진은 트래픽을 차단합니다.

모든 트래픽을 검사하는 기본 Cato 정책을 선택할 수 있습니다. 또한, 특정 트래픽을 검사하고 어떤 트래픽이 TLS 검사를 우회할지 정의하는 특정 TLS 검사 규칙을 생성할 수 있습니다.

tlsinspection.png

노트

Note: 기본적으로 다음 운영체제에 대해 TLS 검사가 우회됩니다:

  • Android (인증서 고정과 관련된 문제로 인해)

  • Linux

  • 알 수 없는 운영체제

응용 프로그램을 위한 Cato 기본 우회 규칙

Cato는 암시적 우회 규칙에 포함된 여러 애플리케이션을 포함하며, 이들은 TLS 검사에서 자동으로 제외됩니다. 이 응용 프로그램의 목록은 아래 기본 우회 규칙을 참조하세요.

TLS 검사 대기 시간

초기 연결 시 TCP 및 TLS 핸드셰이크로 인해 최소한의 지연이 예상됩니다. 이는 데이터가 적절한 네트워크 또는 보안 엔진으로 흐르기 전에 발생합니다. 이 지연은 패킷당 최대 8밀리초입니다.

순서가 지정된 TLS 검사 규칙 기반 사용

TLS 검사 엔진은 연결을 순차적으로 검사하고 연결이 규칙에 맞는지를 확인합니다. 규칙 기반의 최종 규칙은 기본 암시적 ANY - ANY 검사 규칙입니다. 따라서 연결이 규칙에 맞지 않으면 자동으로 검사됩니다.

규칙 기반의 마지막 부분에서 기본 규칙섹션에서 기본 규칙 설정을 검토할 수 있습니다. 신뢰할 수 없는 서버 인증서 작업을 제외하고 규칙 설정을 편집할 수 없습니다. 신뢰할 수 없는 서버 인증서 작업에 대한 자세한 내용은 아래 TLS 검사 정책 사용자 정의를 위한 규칙 추가를 참조하세요.

규칙 기반의 상단에 있는 규칙은 우선 순위가 높습니다. 왜냐하면 이들은 규칙 기반의 하단 규칙보다 먼저 연결에 적용되기 때문입니다. 예를 들어, 연결이 규칙 #2에 맞는 경우 이 규칙의 작업이 연결에 적용되고 TLS 검사 엔진은 이 연결에 대한 정책 적용을 중지합니다. 이는 규칙 #3 이하의 규칙이 연결에 적용되지 않음을 의미합니다.

TLS 검사 규칙의 작업 이해

TLS 검사 규칙을 사용하면 TLS 트래픽에 대한 검사 또는 우회 작업을 사용할 수 있습니다.

TLS 트래픽을 검사하는 규칙 사용

Inspect 작업을 사용하여 연결을 복호화하고 관련 보안 엔진이 악성 콘텐츠를 트래픽으로 검사할 수 있도록 TLS 검사 규칙을 정의합니다.

TLS 트래픽을 우회하는 규칙 사용

우회 작업을 사용하여 TLS 검사 규칙을 우회하는 트래픽을 정의합니다. 우회된 트래픽은 Cato 보안 엔진에 의해 검사를 위해 복호화되지 않습니다. 우회 규칙이 규칙 기반 상단에 있는 검사 규칙에 맞지 않는 연결만을 배제한다는 것을 기억하세요.

우회 규칙의 우선순위를 변경하여 검사 규칙보다 더 높은 우선순위를 가질 수 있습니다. 우선순위 변경

TLS 검사 정책 구성

TLS 검사 정책 창을 사용하여 계정 내의 모든 트래픽에 대한 TLS 검사 정책을 구성합니다. 모든 트래픽을 검사하는 기본 정책을 사용할 수 있으며, 검사 및 우회 규칙을 추가하여 사용자 정의 정책을 만들 수 있습니다.

여러 항목과 작업

출처 또는 무엇 필드에 여러 항목, 예를 들어 두 그룹이나 범주가 있을 때, 이들 항목 간에는 OR 관계가 존재합니다.

multi-tlsrules.png

최종 사용자 장치에서 Cato 루트 인증서 설치

Cato 루트 인증서는 Cato Cloud에 연결하는 모든 장치와 컴퓨터에 신뢰할 수 있는 인증서로 설치되어야 합니다. Cato 인증서 설치에 대한 자세한 내용은 TLS 검사를 위한 루트 인증서 설치를 참조하세요.

  • 대부분의 내장 운영 체제(OS)에는 Cato 인증서를 설치할 수 없으므로, TLS 검사가 활성화되면 내장 OS를 사용하는 많은 장치가 연결성을 잃습니다. Cato에서 TLS 검사를 지원하는 운영 체제에 대한 자세한 내용은 TLS 검사 모범 사례를 참조하세요.

TLS 검사를 위한 QUIC 및 GQUIC 트래픽 차단

QUIC 및 GQUIC은 구글에서 개발한 전송 프로토콜로 TCP 연결 위에서 작동하지 않으며, 이러한 프로토콜을 사용하는 트래픽은 TLS 검사 서비스에 의해 검사될 수 없습니다. 따라서 TLS 검사를 활성화하는 계정은 인터넷 방화벽 규칙을 사용하여 QUIC 및 GQUIC 트래픽을 차단할 것을 권장합니다. 이 트래픽을 차단하는 규칙은 흐름이 TLS 검사 서비스로 검사할 수 있는 프로토콜만을 사용하여 연결되도록 강제합니다. QUIC 및 GQUIC 프로토콜을 사용하는 트래픽을 허용하면 흐름이 검사되지 않고 불필요하게 차단됩니다.

TLS 검사 정책을 처음 활성화하면 인터넷 방화벽 정책에 QUIC 및 GQUIC 트래픽을 차단하는 규칙이 자동으로 추가됩니다. 인터넷 방화벽 정책이 이미 QUIC 트래픽을 차단하여 올바르게 검사될 수 있도록 설정되어 있는 경우, 새로운 규칙은 추가되지 않습니다.

QUIC 및 GQUIC 트래픽에 대한 자세한 내용은 인터넷 및 WAN 방화벽 정책 – 모범 사례를 참조하세요.

기본 TLS 검사 정책 사용

기본 Cato TLS 검사 정책은 모든 트래픽을 검사합니다 (자동으로 우회되는 애플리케이션 제외). TLS 검사를 활성화하여 기본 정책을 사용할 수 있으며, 정책에 규칙을 추가할 필요가 없습니다.

모든 트래픽에 대해 검사 작업을 수행하는 최종 암묵적 규칙이 있습니다.

기본 Cato TLS 검사 정책을 사용하려면:

  1. 네비게이션 메뉴에서 보안 > TLS 검사를 클릭합니다.

  2. TLS 검사를 활성화 슬라이더를 클릭합니다.

  3. 저장을 클릭합니다. 기본 정책을 사용하여 TLS 검사가 활성화됩니다.

TLS 검사 정책 사용자 지정을 위한 규칙 추가

조직의 필요에 따라 특정 유형의 트래픽만 검사하도록 TLS 검사 정책을 사용자 정의할 수 있습니다. 어떤 트래픽이 복호화 및 검사될지를 정의하기 위해 검사바이패스 작업과 함께 방침에 규칙을 추가합니다.

  • Cato Cloud가 의심스러운 및 악성 콘텐츠를 검사하는 트래픽을 정의하기 위해 검사 작업을 사용하는 규칙을 생성합니다.

  • 특정 트래픽을 Cato TLS 검사 엔진에서 제외시키기 위해 바이패스 작업을 사용하는 규칙을 생성합니다. 예를 들어, RingCentral 애플리케이션의 바이패스 규칙을 추가하여 RingCentral 트래픽을 TLS 검사에서 제외할 수 있습니다.

규칙을 작성할 때, TLS 트래픽의 범위를 정의하기 위해 소스무엇을 사용하고, 규칙이 트래픽을 검사할지 우회할지를 설정하기 위해 작업을 사용합니다. 바이패스 규칙이 동일한 트래픽과 일치하는 검사 규칙보다 더 높은 우선순위(규칙 기본 설정의 상단에 더 가까운)를 가지도록 확인하십시오. TLS 검사 바이패스 규칙과 일치하는 트래픽은 또한 Anti-Malware 엔진에 의한 보안 스캔에서도 제외됩니다.

검사 작업으로 규칙을 설정할 때, 신뢰할 수 없는 서버 인증서를 어떻게 처리할지에 대한 동작도 정의해야 합니다.

TLSi_Untrusted_Cert_New.png

이 설정의 옵션은 다음과 같습니다:

  • 허용 - 신뢰할 수 없는 인증서를 가진 사이트로의 트래픽이 허용되고 검사됩니다(기본 설정).

  • 프롬프트 - 사용자는 신뢰할 수 없는 인증서를 가진 사이트로 계속 진행할지를 확인하는 요청을 받습니다. 사용자가 사이트로 계속 진행하면 트래픽이 검사됩니다.

  • 차단 - 신뢰할 수 없는 인증서를 가진 사이트로의 트래픽이 차단됩니다

노트

참고: TLS 검사를 방지하기 위해 인증서를 고정하는 애플리케이션은 우회 규칙에 추가하여 최종 사용자에게 올바르게 작동하도록 합니다.

TLS 검사 정책에 규칙을 추가하려면:

  1. 네비게이션 메뉴에서 보안 > TLS 검사를 클릭합니다.

  2. 새로운을 클릭합니다.

  3. 규칙에 대한 이름을 입력하십시오.

  4. 규칙을 활성화하거나 비활성화하려면 활성화 토글을 사용하십시오.

    기능이 활성화되면 스위치는 초록색입니다 toggle.png.

  5. 이 규칙의 규칙 순서를 구성합니다.

  6. 소스를 확장하고 소스 유형을 선택합니다.

    • 유형을 선택합니다 (예: 호스트, 네트워크 인터페이스, IP, 기타). 기본값은 기타 입니다.

    • 필요한 경우 해당 유형의 드롭다운 목록에서 특정 객체를 선택합니다.

  7. 장치 섹션에서 이 규칙에 맞추기 위해 필요한 플랫폼, 국가, 장치 자세 프로필, 및 연결 원산지를 구성합니다.

    장치 조건에 대한 자세한 내용은 TLS 검사에 대한 장치 조건 추가를 참조하세요.

  8. 규칙이 적용되는 무엇을 정의합니다. 예를 들어, 서비스, 애플리케이션, 맞춤형 또는 사전 정의된 카테고리.

  9. 검사 또는 우회를 선택하여 동작을 구성합니다.

    • 검사를 선택하면 신뢰할 수 없는 서버 인증서 드롭다운 메뉴에서 문제 있는 인증서로 트래픽에 대한 동작을 선택하십시오: 허용, 차단, 또는 확인. 기본값은 허용입니다.

  10. 적용을 클릭합니다.

  11. 저장을 클릭합니다. TLS 검사 규칙이 규칙 기반에 저장됩니다.

TLS 검사 정책 관리

이 섹션에서는 규칙의 우선순위 변경, 활성화 및 삭제를 포함하여 TLS 검사 정책의 규칙을 관리하는 방법을 설명합니다.

규칙 우선순위 변경

규칙 동작이 일치하는 연결에 적용되는 시기를 결정하기 위해 규칙의 우선 순위를 변경합니다. 각 연결에 대해 규칙이 연속적으로 적용되며, 연결이 규칙과 일치하면 낮은 우선순위의 규칙은 적용되지 않습니다.

규칙 우선순위를 변경하려면:

  1. 특정 규칙의 # 열 위로 마우스를 올리십시오. 클릭하고 move.png 규칙을 위쪽으로 드래그하여 우선순위를 높이거나 아래로 드래그하여 우선순위를 낮춥니다.

  2. 저장을 클릭합니다.

TLS 검사 규칙 활성화 및 비활성화

슬라이더를 사용하여 TLS 검사 정책에서 개별 규칙을 활성화 및 비활성화합니다.

규칙을 활성화하거나 비활성화하려면:

  1. 규칙 끝에서 More_icon.png을 클릭하세요. 규칙의 드롭다운 메뉴가 나타납니다.

  2. 활성화 또는 비활성화를 클릭합니다.

  3. 저장을 클릭합니다.

규칙 삭제

TLS 검사 규칙 기반에서 하나 이상의 규칙을 삭제할 수 있습니다. 규칙을 삭제한 후에는 되돌리거나 복원할 수 없습니다.

규칙 기반에서 규칙을 삭제하려면:

  1. 규칙 끝에서 More_icon.png을 클릭하세요. 규칙의 드롭다운 메뉴가 열립니다.

  2. 규칙 삭제를 클릭합니다.

  3. 확인 창에서 삭제를 클릭합니다. 규칙이 제거됩니다.

  4. 저장을 클릭합니다. 규칙이 삭제되었습니다.

기본 우회 규칙

Cato는 문제를 일으킬 수 있는 특정 응용 프로그램, 운영 체제 및 클라이언트를 우회하는 기본 TLS 검사 규칙을 관리합니다. 이 규칙들은 규칙베이스의 상단에 위치하며 수정할 수 없습니다. TLS 검사를 위한 정책을 계획하고 결정을 내리는 데 도움이 되도록, 이 규칙의 설정을 기본 우회 규칙 섹션에서 볼 수 있습니다.

TLSi_Default_Bypass_Rules.png

관련 리소스

도움이 되었습니까?

8명 중 6명이 도움이 되었다고 했습니다.

댓글 0개